去中心化錢包詐騙最常見的 5 種,看到就該關掉
會被去中心化錢包詐騙坑到的人,十之八九不是因為笨,而是因為當下「急」——急著領那個看起來快過期的空投、急著解決那個彈出來的警告、急著回覆那個自稱客服的訊息。詐騙的設計就是逼你在三秒內做決定,讓你來不及停下來想。這篇把最常見的五種套路攤開給你看,重點不是要你背手法,而是要你練出一個反射動作:只要畫面叫你「現在馬上簽 / 馬上領 / 馬上提供」,先關掉,什麼都別動。看完你會發現,這幾種其實都長得很像,認得出骨架,新的變體也騙不到你。
先記住一條鐵律
在進到五種套路之前,先把一句話刻進腦袋,它能擋掉損失最慘的那一整類:
沒有任何正當理由,需要你把助記詞輸入到網站、傳給任何人、或回覆給任何「客服」。只要有人開口要你的助記詞,不用想,就是詐騙。
去中心化錢包的本質就是「鑰匙只在你手上」,這一點我們在 去中心化錢包完整入門 講得很細。正因為鑰匙只在你手上,所以官方、客服、平台都不會、也不需要知道你的助記詞。任何要你交出助記詞的場景,不管包裝得多像官方,都是衝著你那把鑰匙來的。這一點各家官方說得比我重:MetaMask 官方的 Web3 安全須知 和 ethereum.org 的安全頁面 都把「助記詞不外洩」列為第一原則,值得對照著看。
一、假客服、假官網
怎麼運作:你在錢包卡關、上網求助,或在社群發了個問題,沒多久就有人私訊你,頭像和名稱看起來像官方客服,熱心地問你「方便提供助記詞嗎,我幫你查一下」。另一種變體是假官網——你從搜尋結果點進去,網址跟正版只差一兩個字母,頁面幾乎一模一樣,叫你「驗證錢包」並輸入助記詞。
看到就該關掉的訊號:主動私訊你的「客服」、要你提供助記詞或私鑰、把你導到一個要你輸入助記詞的網頁。去中心化錢包根本沒有會主動找你的客服。
怎麼防:官方支援一律自己從官網或 App 內的說明入口進去找,不要被人帶著走。網址逐字看清楚,別只看「長得像」——詐騙網域常常用相近的字母、多一個橫線、或換個結尾來騙過你的第一眼。需要查官方功能說明,認準像 MetaMask 官方支援文件 這種真正的官方來源,而不是某個私訊你的人貼來的連結。
還有一個心態上的盲點要提醒:這類詐騙往往挑你「正在卡關、正在求助」的時候出手,因為那一刻你最焦慮、最想趕快有人幫你解決,防備心最低。所以記住,越是你急著求救的時候,越要警覺主動冒出來的「好心人」。真正的官方不會在你公開發問後幾分鐘私訊你要助記詞;會這樣做的,只有盯著你錢包的人。
二、假授權:看不懂的簽署
怎麼運作:這是現在最毒、最多人栽的一種。你連到一個釣魚網站——可能是假活動頁、假領獎頁、假 DApp——它彈出一個簽署請求,告訴你「簽一下就能領」「授權才能用功能」。你看不懂內容,想說簽個名應該沒差,一簽,等於授權對方可以動用你錢包裡某種代幣,接著錢就被悄悄轉走。關鍵是:整個過程你「沒有轉帳」,只是「簽了個名」,很多人因此放鬆警惕。
看到就該關掉的訊號:一個你看不懂的簽署或授權請求、頁面催你「現在簽就能領」、來源是你不確定的網站。授權給的是「動你資產的權限」,不是無害的簽到。
怎麼防:看不懂的簽署一律不簽,這條沒有例外。要用 DApp 前先確認網站是不是你真的要去的那個,別從別人貼的連結或搜尋廣告點進去。比較安全的習慣是:每次彈出簽署請求,先看它要你授權的是哪個代幣、對象是誰、金額多少;如果欄位是一串你完全看不懂的東西、又沒有清楚顯示對象,直接取消。授權這件事的原理、以及怎麼定期檢查和撤銷已經給出去的授權,我們單獨寫了一篇:領空投前必看:惡意簽署 / 授權詐騙怎麼避開,進鏈上活動之前強烈建議先讀。
順帶說一個容易被忽略的點:授權是會「累積」的。你今天在 A 網站簽了一個授權,明天在 B 網站簽一個,這些權限不會自己消失,會一直掛在你的錢包上。所以除了「當下別亂簽」,也要養成每隔一陣子回頭檢查、把不再用的授權撤銷掉的習慣,把長期暴露的破口收乾淨。想理解「代幣授權(token approval)」到底是什麼、為什麼能被濫用,可以看 Investopedia 對智慧合約的解釋 打底。
三、剪貼簿換地址木馬
怎麼運作:這種比較陰。你的裝置中了一個惡意程式,它平常潛伏不動,專門盯著你的剪貼簿。當你複製一個錢包地址、準備貼到轉帳欄位時,它在你貼上的那一瞬間,偷偷把地址換成詐騙者的。錢包地址又長又亂,沒人會逐字記,所以你貼上後通常不會發現不對,按下送出,錢就直接進了對方口袋。
看到就該關掉的訊號:這種沒有明顯彈窗可以「看到」,它就是利用你不會核對的習慣。所以防它要靠主動動作,不是等它現形。
怎麼防:養成「貼完地址,一定再核對開頭幾碼和結尾幾碼」的習慣,最好把對方給你的地址跟你貼進去的逐段對一遍。光看開頭兩三碼不夠,因為有些木馬會生成開頭很像的地址來騙你,結尾也要一起對。你也可以先把地址貼進 地址檢查器 看格式對不對、自己再對一次,讓「核對」變成轉帳流程裡固定、不可跳過的一步。地址本身怎麼讀、為什麼要逐碼核對,可以延伸看 錢包地址是什麼?貼地址前一定要檢查的幾件事。
另外有個更穩的小習慣:如果是常常要轉去的地址(例如你自己交易所的入金地址),第一次確認無誤後,把它存進錢包的地址簿,之後直接從地址簿選,就不用每次重新複製貼上、也就不給剪貼簿木馬下手的機會。大額轉帳前,也建議先轉一筆小額測試,確認到帳、地址沒被換掉,再轉剩下的。要核對一筆鏈上交易有沒有真的到帳,可以用區塊瀏覽器自己查,例如 Etherscan 或 BscScan,貼上地址或交易序號就看得到。
四、假空投釣魚
怎麼運作:你打開錢包,發現裡面莫名多了一個沒見過的代幣,名字可能還寫著某個網站。你好奇去查,或代幣本身就帶訊息叫你到某網站「領取」「兌換」「啟用」。點進去之後,要嘛要你輸入助記詞,要嘛要你簽一個惡意授權——回到前面第二種套路。這個多出來的代幣本身,就是釣餌。
看到就該關掉的訊號:錢包裡冒出你沒買過、沒領過的代幣;不明代幣附帶一個「去某網站」的指示;催你限時領取。
怎麼防:看到不明代幣,最安全的做法是不碰、不點、不互動,就讓它躺在那。別去點它、別試著把它換成別的幣、更別照它附的指示去任何網站。真正的空投通常是你「主動參與過某個專案、或符合某些條件」才會拿到,而不是無緣無故自己冒出來的;憑空多出來的代幣,九成是釣餌。怎麼從訊號上分辨一個空投是真是假,我們整理成一篇:怎麼分辨真假空投?5 個一看就知道是詐騙的訊號,想安全領空投的人可以照著對。想完整、安全地走一遍領空投流程,也可以參考 加密貨幣空投完整指南。
五、假錢包 App
怎麼運作:詐騙者做一個跟正版幾乎一模一樣的錢包 App,放到一些非官方的下載管道,或用廣告、私訊連結誘你下載。你裝了、照流程「建立錢包」或「匯入錢包」,你輸入或產生的助記詞,在那一刻就同步傳給了對方。等你真的存幣進去,對方再一次清空。
看到就該關掉的訊號:從廣告、私訊、來路不明的連結下載錢包;下載頁網址不是官方網域;App 來源評價怪異或剛上架。
怎麼防:只從官方網站或官方 App 商店的正版連結下載,下載前再確認一次網域,也順手看一下開發者名稱、上架時間、評價是不是合理。剛上架、評論很少、或開發者名稱怪怪的,先別裝。對台港新手,如果你本來就要用交易所,直接用交易所內建、來源明確的 Web3 錢包入門,踩到假 App 的機會會小很多——這個內建錢包的開通和備份流程,我們寫在 幣安 Web3 錢包完整教學。
還有一種變體要小心:你已經在用正版錢包,卻收到「請更新 App」的訊息或彈窗,連結卻把你導到非官方的下載頁。更新一律從官方 App 商店進行,不要點訊息裡的連結更新,這一步就能擋掉大半的假更新陷阱。
幾乎每一個釣魚頁面,一打開就先給你一個倒數計時——這是我們拿一個只放極小額的測試錢包、刻意去點幾個一看就可疑的頁面時,反覆撞見的同一招。倒數計時、限量名額、「再不領就過期」,全是在用時間壓力逼你別細想,而真正的官方功能從來不這樣催人。再往下看,那些頁面的簽署請求,內容欄位常常是一長串看不懂的東西;正常的轉帳簽署反而會清楚顯示對象和金額。把這兩點擺在一起就很清楚:只要彈出來的東西讓你「看不懂又被催著簽」,那就是該關掉的時刻。這趟看下來我們更確定——防詐的關鍵不是背熟每一種新花樣,而是養成「被催 = 停下來」的反射。
通用的三道防線
五種套路講完,你會發現它們的破口其實重疊。把這三道防線設好,絕大多數變體都進不來:
- 助記詞只用紙筆抄、只存在離線的地方,永遠不輸入到任何網站、不傳給任何人。這一條擋掉假客服、假官網、假 App 這三種。怎麼抄、抄去哪,看 助記詞是什麼?怎麼抄、抄去哪、為什麼千萬別截圖。
- 看不懂的簽署一律不簽,進任何 DApp 前先確認網址。這條擋掉假授權和假空投。
- 轉帳前一定逐碼核對地址,養成貼完再對一次的習慣。這條擋掉剪貼簿木馬和手滑貼錯。
說到底,去中心化錢包把自由給了你,也把責任給了你。詐騙者賭的就是你會「為了方便而省掉那三秒的核對」。你只要把上面這三件事變成肌肉記憶,被催的時候自動慢下來,他們最常用的這幾招就對你失效了。轉帳前想多一道把關,可以順手用 地址檢查器;想把整個自我保管的安全觀念補齊,回 去中心化錢包完整入門 從頭讀一遍,會把這篇的每一條串起來。